Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en Best courier management system in php v.1.0 (CVE-2024-48580)
Fecha de publicación:
25/10/2024
Idioma:
Español
La vulnerabilidad de inyección SQL en Best courier management system in php v.1.0 permite a un atacante remoto ejecutar código arbitrario a través del parámetro de correo electrónico de la solicitud de inicio de sesión.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
02/05/2025

Vulnerabilidad en OvalEdge 5.2.8.0 (CVE-2022-30354)
Fecha de publicación:
25/10/2024
Idioma:
Español
OvalEdge 5.2.8.0 y versiones anteriores se ven afectadas por una vulnerabilidad de exposición de datos confidenciales a través de una solicitud GET a /user/getUserWithTeam. Se requiere autenticación. La información divulgada está asociada con todos los números de identificación de usuario registrados.
Gravedad CVSS v3.1: ALTA
Última modificación:
23/04/2025

Vulnerabilidad en OvalEdge 5.2.8.0 (CVE-2022-30355)
Fecha de publicación:
25/10/2024
Idioma:
Español
OvalEdge 5.2.8.0 y versiones anteriores se ven afectadas por una vulnerabilidad de apropiación de cuenta mediante una solicitud POST a /profile/updateProfile mediante los parámetros userId y email. Se requiere autenticación.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
28/04/2025

Vulnerabilidad en Olive VLE (CVE-2024-48428)
Fecha de publicación:
25/10/2024
Idioma:
Español
Un problema en Olive VLE permite a un atacante obtener información confidencial a través de la función de restablecimiento de contraseña.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/03/2025

Vulnerabilidad en Zitadel (CVE-2024-49757)
Fecha de publicación:
25/10/2024
Idioma:
Español
El software de infraestructura de identidad de código abierto Zitadel permite a los administradores desactivar el autorregistro de usuarios. Debido a que en las versiones anteriores a 2.64.0, 2.63.5, 2.62.7, 2.61.4, 2.60.4, 2.59.5 y 2.58.7 no se realizaba un control de seguridad, la desactivación de la opción "Se permite el registro de usuarios" solo ocultaba el botón de registro en la página de inicio de sesión. Los usuarios podían eludir esta restricción accediendo directamente a la URL de registro (/ui/login/loginname) y registrar un usuario de esa manera. Las versiones 2.64.0, 2.63.5, 2.62.7, 2.61.4, 2.60.4, 2.59.5 y 2.58.7 contienen un parche. No se conocen workarounds disponibles.
Gravedad CVSS v3.1: ALTA
Última modificación:
26/08/2025

Vulnerabilidad en Plenti (CVE-2024-49381)
Fecha de publicación:
25/10/2024
Idioma:
Español
Plenti, un generador de sitios estáticos, tiene una vulnerabilidad de eliminación arbitraria de archivos en versiones anteriores a la 0.7.2. El endpoint `/postLocal` es vulnerable a una eliminación arbitraria de escritura de archivos cuando un usuario de plenti accede a su sitio web. Este problema puede provocar la pérdida de información. La versión 0.7.2 corrige la vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
14/11/2024

Vulnerabilidad en Zitadel (CVE-2024-49753)
Fecha de publicación:
25/10/2024
Idioma:
Español
Zitadel es un software de infraestructura de identidad de código abierto. Las versiones anteriores a 2.64.1, 2.63.6, 2.62.8, 2.61.4, 2.60.4, 2.59.5 y 2.58.7 tienen una falla en el mecanismo de validación de URL de las acciones de Zitadel que permite eludir las restricciones destinadas a bloquear las solicitudes a localhost (127.0.0.1). La comprobación isHostBlocked, diseñada para evitar dichas solicitudes, se puede eludir mediante la creación de un registro DNS que se resuelva en 127.0.0.1. Esto permite que las acciones envíen solicitudes a localhost a pesar de las medidas de seguridad previstas. Esta vulnerabilidad potencialmente permite el acceso no autorizado a endpoints internos no seguros, que pueden contener información o funcionalidades confidenciales. Las versiones 2.64.1, 2.63.6, 2.62.8, 2.61.4, 2.60.4, 2.59.5 y 2.58.7 contienen un parche. No se conocen workarounds disponibles.
Gravedad CVSS v3.1: MEDIA
Última modificación:
26/08/2025

Vulnerabilidad en Plenti (CVE-2024-49380)
Fecha de publicación:
25/10/2024
Idioma:
Español
Plenti, un generador de sitios estáticos, tiene una vulnerabilidad de escritura de archivos arbitrarios en versiones anteriores a la 0.7.2. El endpoint `/postLocal` es vulnerable a una vulnerabilidad de escritura de archivos arbitrarios cuando un usuario de plenti accede a su sitio web. Este problema puede provocar la ejecución remota de código. La versión 0.7.2 corrige la vulnerabilidad.
Gravedad CVSS v4.0: ALTA
Última modificación:
06/05/2025

Vulnerabilidad en smartUp (CVE-2024-49378)
Fecha de publicación:
25/10/2024
Idioma:
Español
smartUp, una extensión de gestos del ratón para navegadores web, presenta un problema de Cross Site Scripting universal en las versiones Edge y Firefox de smartUp 7.2.622.1170. La vulnerabilidad permite que otra extensión ejecute código arbitrario en el contexto de la pestaña del usuario. Al momento de la publicación, no existían parches conocidos.
Gravedad CVSS v4.0: MEDIA
Última modificación:
28/10/2024

Vulnerabilidad en Philips (CVE-2024-9991)
Fecha de publicación:
25/10/2024
Idioma:
Español
Esta vulnerabilidad existe en los dispositivos de iluminación Philips debido al almacenamiento de credenciales de Wi-Fi en texto plano dentro del firmware del dispositivo. Un atacante con acceso físico podría aprovechar esto extrayendo el firmware y analizando los datos binarios para obtener las credenciales de Wi-Fi en texto plano almacenado en el dispositivo vulnerable. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante obtener acceso no autorizado a la red Wi-Fi a la que está conectado el dispositivo vulnerable.
Gravedad CVSS v4.0: ALTA
Última modificación:
28/10/2024

Vulnerabilidad en SourceCodester Petrol Pump Management Software 1.0 (CVE-2024-10380)
Fecha de publicación:
25/10/2024
Idioma:
Español
Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Petrol Pump Management Software 1.0. Este problema afecta a algunas funciones desconocidas del archivo /admin/ajax_product.php. La manipulación del argumento drop_services provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
Gravedad CVSS v4.0: MEDIA
Última modificación:
01/11/2024

Vulnerabilidad en Matrix Door Controller Cosec Vega FAXQ (CVE-2024-10381)
Fecha de publicación:
25/10/2024
Idioma:
Español
Esta vulnerabilidad existe en Matrix Door Controller Cosec Vega FAXQ debido a una implementación incorrecta de la administración de sesiones en la interfaz de administración basada en web. Un atacante remoto podría aprovechar esta vulnerabilidad enviando una solicitud http especialmente manipulada en el dispositivo vulnerable. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto obtener acceso no autorizado y tomar el control total del dispositivo objetivo.
Gravedad CVSS v4.0: CRÍTICA
Última modificación:
14/11/2024
Suscribirse a Vulnerabilidades